获取当前系统的 详细ip配置,包括 所在域, ip, 掩码, ⽹关, 主备 dns ip 获取当前系统最近的⽤户登录记录 获取当前⽤户的所有命令历史记录 [ 主要针对linux,⾥⾯可能包含的有各类敏感账号密码,ip,敏感服务配置... ] 获取本机所有 服务/进程 [包括各个进程的详细权限,也包括⽬标系统中的可疑恶意进程(有可能是同⾏的⻢)]/端 ⼝/⽹络连接信息 获取本机所⽤杀软 / 监控种类 获取当前系统host⽂件内容 获取当前机器硬件设备信息[ 主要为判断当前机器是否为虚拟机 ] 远程截屏捕捉⽬标⽤户敏感操作 由于上述⼤部分的搜集动作都是基于系统内置⼯具和接⼝,故,可完全依靠EDR来实时捕捉各类敏感进程上报恶意操作 利⽤当前已控 "跳板机", 分析⽬标内⽹⼤致⽹络拓扑 及 所有关键性业务机器分布 批量抓取内⽹所有 windows 机器名 和 所在 "域" / "⼯作组名" [smb 探测扫描]